将趋势科技服务器深度安全防护系统事件转发到外部 syslog 或 SIEM 服务器

如果使用适用于 Azure Marketplace 的趋势科技服务器深度安全防护系统管理中心 VM，则本文不适用。有关该版本，请参阅将事件转发到外部 Syslog 或 SIEM 服务器。

如果要将事件发布到 Amazon SNS，请参阅使用 Amazon SNS 访问事件。

趋势科技服务器深度安全防护系统记录以下两种类型的事件：

• 系统事件：管理事件或与系统相关的事件（例如管理员登录或客户端软件升级）。这些事件由趋势科技服务器深度安全防护系统管理中心生成。
• 安全事件：在触发防护模块规则或条件时记录这种事件。这些事件由趋势科技服务器深度安全防护系统客户端生成。

可以将趋势科技服务器深度安全防护系统配置为将这两种类型的事件转发到外部 syslog 或安全信息和事件管理 (SIEM) 服务器。根据日志消息由趋势科技服务器深度安全防护系统管理中心还是客户端计算机发送，日志消息的内容和格式会稍有不同。有关格式的详细信息，请参阅 Syslog 消息格式

转发的事件包括两种不同类型，它们需要分别配置：

• 将系统事件转发到 syslog 或 SIEM 服务器
• 将安全事件转发到 syslog 或 SIEM 服务器

即使启用到转发到 syslog 或 SIEM 服务器的事件，趋势科技服务器深度安全防护系统仍会记录所有系统事件和安全事件，并将它们显示在趋势科技服务器深度安全防护系统管理中心的报告和图形中。

如果要将 Splunk 用作 syslog 或 SIEM 服务器，请考虑使用适用于 Splunk 的趋势科技服务器深度安全防护系统应用程序，此应用程序会提供控制台和已保存的搜索。

将系统事件转发到 syslog 或 SIEM 服务器

1. 转至管理 > 系统设置 > 事件转发。
2. 在使用配置将系统事件转发到远程计算机 (通过 Syslog) 列表中，选择现有 syslog 配置，或者选择新建并定义新配置（有关详细信息，请参阅定义 syslog 配置）。
3. 单击保存。

将安全事件转发到 syslog 或 SIEM 服务器

安全事件由每个防护模块的客户端生成。转发这些类型的事件时可选择以下两个选项之一：客户端计算机可以直接实时转发事件，或者趋势科技服务器深度安全防护系统管理中心可以在波动信号时收集并转发事件。如果要使用 TLS 发送安全的 syslog 消息，则必须通过趋势科技服务器深度安全防护系统管理中心发送。直接从客户端发送的 Syslog 消息将使用 UDP，并以明文发送。

• 直接从客户端计算机将安全事件转发到 syslog 或 SIEM 服务器
• 从客户端计算机通过趋势科技服务器深度安全防护系统管理中心转发安全事件

最佳做法是使用高级别父策略在整个环境中传播配置设置。与趋势科技服务器深度安全防护系统中的其他设置一样，您可以覆盖特定策略或计算机的事件转发设置（请参阅策略、继承和覆盖）。

直接从客户端计算机将安全事件转发到 syslog 或 SIEM 服务器

1. 转至策略。
2. 双击要用于让计算机直接将事件转发到 syslog 服务器的策略。
   
3. 转至设置 > SIEM。
4. 在事件转发频率 (来自客户端/设备) 下，指定从客户端或设备将事件转发到 syslog 或 SIEM 服务器的频率。
5. 在事件转发配置 (来自客户端/设备) 下，指定要用于每个防护模块的 syslog 配置。选项为：
   • 已继承 (配置名称)：从父策略或计算机继承行为
   • 无：不转发事件
   • Syslog 配置名称：事件将转发到指定的 syslog 配置。要查看有关配置的详细信息或编辑该配置，请单击编辑。必须将配置的传输设置为 "UDP" 并将客户端应当转发日志设置为“直接到 Syslog 服务器”。
   • 新建：可让您定义新配置（有关详细信息，请参阅定义 syslog 配置）。必须将配置的传输设置为 "UDP" 并将客户端应当转发日志设置为“直接到 Syslog 服务器”。
6. 单击保存。

从客户端计算机通过趋势科技服务器深度安全防护系统管理中心转发安全事件

当选择通过趋势科技服务器深度安全防护系统管理中心转发事件时，管理中心会在每次波动信号时收集事件（设置 > 常规 > 波动信号间隔 (以分钟为单位)）。

1. 转至策略。
2. 双击要用于让计算机通过趋势科技服务器深度安全防护系统管理中心转发安全事件的策略。
   
3. 转至设置 > SIEM。
4. 在事件转发配置 (来自客户端/设备) 下，指定要用于每个防护模块的 syslog 配置。选项为：
   • 已继承 (配置名称)：从父策略或计算机继承行为
   • 无：不转发事件
   • Syslog 配置名称：事件将转发到指定的 syslog 配置。要查看有关配置的详细信息或编辑该配置，请单击编辑。必须将配置的客户端应当转发日志设置为“通过趋势科技服务器深度安全防护系统管理中心”。
   • 新建：可让您定义新配置（有关详细信息，请参阅定义 syslog 配置）。必须将配置的客户端应当转发日志设置为“通过趋势科技服务器深度安全防护系统管理中心”。
5. 单击保存。

定义 syslog 配置

可以定义 syslog 配置并将其分配给系统事件或安全事件，或者分配给两者。可以根据需要定义所需数量的 syslog 配置。

要查看任何现有 syslog 配置，请转至策略 > 通用对象 > 其他 > Syslog 配置。您可以从该页面添加或编辑配置。还可以导入和导出配置。

如果您在 2017 年 1 月 26 日之前配置了 syslog 或 SIEM 服务器设置，则这些设置已转换为 syslog 配置并会显示在 Syslog 配置页面上。任何相同配置将合并到一起。

要添加新配置，请执行以下操作：

1. 单击新建 > 新建配置。
2. 在常规选项卡上：
   • 名称：用于标识配置的有意义名称。名称必须是唯一的。
   • 描述:配置的可选描述
   • 日志源标识符：将 syslog 消息发送到 syslog 或 SIEM 服务器时，它们包含标识了消息源的所报告的主机名。如果将“日志源标识符”设置留空，并且您正在运行多节点趋势科技服务器深度安全防护系统管理中心，则每个节点会发送不同的主机名作为标识符。如果要对每个管理中心节点使用同一个标识符（将所有 syslog 消息视为来自同一个源），您可以指定通用的日志源标识符。请注意，直接从趋势科技服务器深度安全防护系统客户端发送到 syslog 或 SIEM 服务器的 syslog 消息将使用所报告的计算机主机名，并且不能改为使用日志源标识符。
   • 服务器名称:应该向其发送事件的主机名或 IP 地址。syslog 或 SIEM 服务器和任何路由器、防火墙和安全组都必须允许来自趋势科技服务器深度安全防护系统管理中心的入站连接，以确保事件转发正常其作用。

     如果正使用趋势科技服务器深度安全防护系统即服务，请确保可通过 Internet 访问 syslog 或 SIEM 服务器且 DNS 主机名可解析。有关哪些地址会尝试访问 syslog 或 SIEM 服务器的更多信息，请参阅趋势科技服务器深度安全防护系统即服务 IP 地址。

     如果要直接从趋势科技服务器深度安全防护系统客户端转发事件，则还必须允许来自该客户端的流量。

   • 服务器端口:应该向其发送事件的 UDP 或 TLS 端口。对于 UDP，此端口通常是端口 514。对于 TLS，此端口通常是端口 6514。有关更多信息，请参阅端口号。
   • 事件格式:日志消息的格式。有关格式的详细信息，请参阅 Syslog 消息格式

     只有从趋势科技服务器深度安全防护系统管理中心发送的消息支持 LEEF 格式。

   • 传输:UDP 或 TLS。直接从客户端发送的安全事件必须通过 UDP 发送。通过管理中心发送的系统事件和安全事件可以通过 UDP 或 TLS 发送。如果选择 UDP，事件将以明文发送。如果选择 TLS，事件将以安全方式发送。
   • 设备:记录消息的程序或进程的类型。
   • 客户端应当转发日志:此设置在转发安全事件时适用。可以选择以直接到 Syslog 服务器或通过趋势科技服务器深度安全防护系统管理中心的方式发送 syslog 消息。

   当选择 LEEF 或 TLS 时，此选项硬编码为通过趋势科技服务器深度安全防护系统管理中心。

3. 如果使用 TLS 作为传输机制，您可能需要设置 TLS 客户端认证。转至凭证选项卡并输入私钥，证书和 PEM 格式的证书链（如需）。单击测试连接。趋势科技服务器深度安全防护系统管理中心将尝试向 syslog 或 SIEM 服务器发送三条测试消息。

故障排除

“无法发送 Syslog 消息”警报

如果 syslog 配置存在问题，您可能会看到此警报：

Failed to Send Syslog Message
The Deep Security Manager was unable to forward messages to a Syslog Server.
Unable to forward messages to a Syslog Server

此警报还包含指向受影响 syslog 配置的链接。单击该链接打开相应配置，然后单击测试连接按钮获取更多故障排除信息。您会看到指明连接成功的指示，或者会看到错误消息，该错误消息提供有关导致出现问题的原因的更详细信息。

无法编辑 syslog 配置

如果可以看到 syslog 配置但无法编辑它们，则表明与您的帐户关联的角色可能不具有相应权限。能够配置角色的管理员可通过以下方法检查您的权限：转至管理 > 用户管理，然后选择您的名称并单击属性。在其他权限选项卡上，Syslog 配置设置控制编辑 syslog 配置的能力。有关用户和角色的更多信息，请参阅创建和管理用户。

未传输 Syslog，因为证书已过期

如果您设置了 TLS 客户端认证并且证书已过期，则 syslog 消息不会发送到 syslog 服务器。要修复此问题，请获取新证书，使用新证书的值更新 syslog 配置，测试连接，然后保存配置。

Syslog 未送达，因为服务器证书已过期或已被更改

如果 syslog 服务器证书已过期或已被更改，请打开 syslog 配置并单击测试连接按钮。系统将提示您接受新证书。

用于测试的 syslog 或 SIEM 服务器

我们使用以下三款产品的企业版对趋势科技服务器深度安全防护系统进行了测试：

• Splunk 6.5.1
• IBM QRadar 7.2.8 Patch 3（带有 TLS 协议修补程序，PROTOCOL-TLSSyslog-7.2-20170104125004.noarch）
• HP ArcSight 7.2.2（带有使用 ArcSight-7.2.2.7742.0-Connector 工具创建的 TLS Syslog-NG 连接器）